Sophos 使用 AWS IAM Identity Center 来简化和集中化 AWS 账户管理

Sophos 是一家云原生信息技术安全公司，可跨混合云环境提供全天候的威胁保护，对威胁进行监控并做出回应。该公司利用 Amazon Web Services（AWS）实现了快速成长。其旅程的下一步是，简化账户设置并对账户管理进行集中化。在过去，Sophos 采用身份联合验证，针对不同账户分别授予对 AWS 的访问权限。这使 Sophos 可以轻松而安全地管理 AWS 账户访问权限，但随着 AWS 账户数量的增加，该公司想要一种更简单、更可扩展的方法来管理访问权限。与此同时，Sophos 还需要对新 AWS 账户设置、身份与访问管理角色、权限以及临时用户凭证保持精细的访问权限控制。

为了简化与集中化 AWS 账户管理，并且在分配用户角色和权限时获得更灵活的选项，Sophos 实施了 AWS IAM Identity Center（AWS Single Sign-On 的后继者）。IAM Identity Center 服务可简化对多个 AWS 账户和业务应用程序访问权限的集中管理。有别于为每个账户设置身份联合验证，Sophos 只需要在 IAM Identity Center 中设置身份联合验证一次，便能管理对多个 AWS 账户的访问，这大幅简化了新账户设置以及为单个角色分配有限权限的流程。现在，Sophos 可以通过 IAM Identity Center 主控台或命令行界面集中管理账户访问权限，而不再需要依赖第三方扩展来为开发人员分配临时凭证。“我们的员工对 IAM Identity Center 的外观和使用感受都十分满意”，Sophos 的首席云架构师 Guy Davies 说道，“由于大多数步骤现在都是自动的，账户创建时间也大大缩短。”

Sophos 成立于 1985 年，他们的产品如今帮助保护 150 多个国家/地区的超过 40 万家组织和 1 亿以上用户免遭高级网络威胁。在改用 IAM Identity Center 以前，Sophos 使用的是基于账户的身份联合验证，以便安全管理 1500 个内部用户会访问的 250 个 AWS 账户。设置、管理以及变更其 AWS 账户的过程十分耗时，其中要兼顾信息技术和云开发团队的意见。Sophos 想要提高自身敏捷性，从而以更快速度进行扩展。

Sophos 已使用多种 AWS 服务，包括 AWS Organizations，该服务可帮助公司在扩展其 AWS 资源的同时集中管理与治理其 AWS 环境。而且，Sophos 还希望对其 AWS 账户管理进行集中化，并且在设置新账户和变更角色权限时避免额外步骤。Sophos 有 500 多个 Azure Active Directory 组，用来控制对账户的访问权限。所以在 2019 年，当 IAM Identity Center 开始支持跨域身份管理系统规范时，Sophos 找到了大规模简化账户设置与管理访问权限的解决方案。他们现在可以将其现有的 Azure Active Directory 组同步到 AWS。“我们有自己构建解决方案的能力，但我们也有 1500 名能够熟练操作 AWS 的员工”，Davies 说道，“以 AWS 环境为起点，让我们可以更轻松地做更酷的事。”

Sophos 希望继续使用其现有的身份服务提供商（包括企业身份服务提供商 – Azure Active Directory）以及 Jira 身份验证和 YubiKey 硬件身份验证设备。这些身份验证工具和 IAM Identity Center 无缝兼容，可实现安全的多重身份验证。在经过概念验证并收到正面的内部反馈以后，Sophos 继续过渡到 IAM Identity Center。在 2020 年 9 月前，Sophos 用了几个星期便完成了设置，然后在 10 月的第一个星期，他们要求 1500 个内部用户在当月月底前进行切换。有些用户一开始就能很快上手，然后是部分过渡较慢的用户也逐渐适应，但他们的反应普遍都是正面的。Davies 表示：“我们没有收到任何有关 IAM Identity Center 的负面反馈。对一个可能影响大约 1500 人的日常工作流的变化而言，这一现象可以说是前所未有的。”

过渡到 IAM Identity Center 帮助 Sophos 团队大幅简化了 AWS 账户管理的各个方面，将设置新的 AWS 账户的时间从几天缩短到一天以内，并可以随着承包商的去留几乎即时撤销对 AWS 账户的访问权限。在过去，撤销某个用户的访问权限需要梳理控制每个账户访问权限的所有 Azure Active Directory 组，这样才能完全撤销对每个账户的访问权限，然后还要等待 Azure Active Directory 执行同步。整个过程可能需要长达一个小时。在创建两个 Azure Active Directory 组（一个包含所有单个用户并授予对 IAM Identity Center 主控台的访问权限，另一个通过跨域身份管理系统进行同步并授予对 AWS 账户的访问权限以及其他权限）以后，Sophos 现在可以轻松地将某个用户从 IAM Identity Center 组中提取出来，然后立即撤销访问权限，而不需要等待同步。总得来说，开发人员节省了几百个小时的 AWS 账户创建时间，而且不再需要信息技术团队执行 AWS 账户设置。这降低了资源成本，让 Sophos 能够更敏捷地进行扩展。

使用 IAM Identity Center，Sophos 还得到一项重要的安全优势：他们现在可以为其用户提供创建临时凭证的选项，以用于访问 AWS 资源。当不需要这些凭证时，Sophos 也不必轮换凭证或撤销它们。IAM Identity Center 还允许账户管理员在一个中心位置更改他们的权限，让他们能够快速灵活地调整角色权限。“我们现在可以在分配权限时做到更精细，因为我们能够视需要毫不费力地建立任意个权限集”，Davies 解释，“我们可以限制人员对其 AWS 账户的访问权限，从而缩小攻击面。”

对于 Sophos 来说，实施 IAM Identity Center 明显加快并简化了 AWS 账户管理，帮助开发团队缩短等待其他团队的时间并将更多时间投入到令人兴奋的创新上。Sophos 未来还计划使用 IAM Identity Center API 来实现更多自动化，进一步加快 AWS 账户设置与访问流程。例如，他们计划对某种预置账户访问权限的方法进行自动化 – 非常适用于在正常工作时间以外提出的请求。

“这正是我们所需要的，我们可以借此更精细而且动态地管理有关 AWS 账户的权限”，Davies 说道，“使用 IAM Identity Center，让这一切变得可能。”